40個(gè)安全專家需要知道的網(wǎng)絡(luò)安全數(shù)據(jù)

責(zé)任編輯:editor005

作者:secist

2017-06-18 21:13:56

摘自:黑客與極客

普華永道的調(diào)查中有38%的受訪者表示曾有過網(wǎng)絡(luò)釣魚詐騙的經(jīng)歷  網(wǎng)絡(luò)釣魚成為2016年增長趨勢最明顯的安全威脅。

隨著互聯(lián)網(wǎng)的不斷發(fā)展,網(wǎng)絡(luò)安全威脅也日益增長。為了便于IT安全人員及時(shí)的掌握和了解當(dāng)前的安全環(huán)境,許許多多的行業(yè)調(diào)查,供應(yīng)商報(bào)告和研究報(bào)告也隨之而來。而面對如此規(guī)模龐大的報(bào)告數(shù)量,不免讓我們感到有些眼花繚亂。為此,我對大量的分析報(bào)告進(jìn)行了梳理,以便于大家更好地閱讀和了解這些內(nèi)容。以下是關(guān)于數(shù)據(jù)泄露,新興威脅,軟件漏洞,合規(guī)性相關(guān)問題,網(wǎng)絡(luò)安全技能等問題的報(bào)告集合。

數(shù)據(jù)泄露

538:2016年公開披露的數(shù)據(jù)泄露總數(shù)

數(shù)據(jù)顯示2016年,共發(fā)生1800起數(shù)據(jù)泄露事件,這些事件導(dǎo)致近14億條記錄外泄。相比2015年,記錄外泄的數(shù)量增加了86%。但是即便如此,2016年數(shù)據(jù)泄露的總記錄數(shù)僅僅只有1100多萬條,大大低于2015年被泄露的1.6億條數(shù)據(jù)記錄,例如美國人事管理局,Anthem和Premera數(shù)據(jù)泄露事件,都大大提升了其泄露總量。

數(shù)據(jù)來源:《數(shù)據(jù)違規(guī)年表》

406:2016年外部第三方或惡意軟件攻擊造成的違規(guī)行為總數(shù)

2016年,與攻擊有關(guān)的(外部第三方和惡意軟件攻擊)違規(guī)行為總數(shù)已經(jīng)超過了合法訪問系統(tǒng)的內(nèi)部人員(15起)和無意泄密(143起)所造成的違規(guī)行為數(shù)量。而在2017年1月1日-2017年5月15日期間,共發(fā)生了93起數(shù)據(jù)泄漏事件,其原因主要是由于紙質(zhì)文件的物理損壞或丟失、被盜或是筆記本電腦或其他移動設(shè)備錯(cuò)放所導(dǎo)致。

數(shù)據(jù)來源:《數(shù)據(jù)違規(guī)年表》

Verizon報(bào)告指出63%的數(shù)據(jù)泄露事故涉及使用低強(qiáng)度、默認(rèn)的密碼或密碼被盜的情況

Verizon報(bào)告指出63%的數(shù)據(jù)泄露事故涉及使用低強(qiáng)度、默認(rèn)的密碼或密碼被盜的情況。其中,41%的數(shù)據(jù)泄露事故涉及登錄憑證被盜,13%利用默認(rèn)或暴力破解的憑證;這些總量超過63%,因?yàn)閱蝹€(gè)數(shù)據(jù)泄露事故可能涉及多個(gè)攻擊方式。

376:2016年各行業(yè)數(shù)據(jù)泄露情況

2016年,醫(yī)療保健行業(yè)泄漏的數(shù)據(jù)總量比其他任何行業(yè)都要多得多,比例高達(dá)43.6%。2016年數(shù)據(jù)泄漏報(bào)告中違規(guī)行為和數(shù)據(jù)泄漏總量最少的部門為銀行/信貸/金融行業(yè),只有52例違規(guī)行為,7萬多條數(shù)據(jù)泄漏。

數(shù)據(jù)來源:《2016年數(shù)據(jù)泄露報(bào)告》

77%的首席信息安全官表示,對其組織檢測到且尚未解決的違規(guī)行為高度關(guān)注

調(diào)查發(fā)現(xiàn),超過80%的首席信息安全官對其組織檢測到且尚未解決的違規(guī)行為表示高度關(guān)注。盡管有這樣的擔(dān)憂,但仍有56%的CISO認(rèn)為他們的公司能夠“有效地”阻止安全漏洞,另有19%的受訪企業(yè)表示他們能夠“非常有效地”阻止安全漏洞。

數(shù)據(jù)來源:《全球CISO研究報(bào)告》

攻擊類型和動機(jī)

247Verizon去年調(diào)查到的以“網(wǎng)絡(luò)間諜”為主要動機(jī)的泄漏事件數(shù)量

這些事件中共有155起造成了實(shí)際的數(shù)據(jù)泄漏情況。除了公共部門組織外,制造業(yè)公司是2016年網(wǎng)絡(luò)間諜活動的主要目標(biāo),共發(fā)生了108起數(shù)據(jù)竊取事件。

517Akamai調(diào)查得出的2016年Q4 DDoS攻擊峰值規(guī)模

2016年最后一個(gè)季度的DDoS攻擊總數(shù)僅比2015年第二季度的DDoS攻擊數(shù)量略高4%。但攻擊強(qiáng)度超過100Gbps的攻擊數(shù)量,則從5次增加到了12次,同期增加了140個(gè)百分點(diǎn)。

2016年第4季度超過300Gbps攻擊流量的DDoS攻擊比例占70%

在許多攻擊事件中,威脅行為者使用不安全的物聯(lián)網(wǎng)(IoT)設(shè)備來生成攻擊流量。2016年第4季度中最大的DDoS攻擊來自Spike物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)。

普華永道的調(diào)查中有38%的受訪者表示曾有過網(wǎng)絡(luò)釣魚詐騙的經(jīng)歷

網(wǎng)絡(luò)釣魚成為2016年增長趨勢最明顯的安全威脅。這種趨勢表明網(wǎng)絡(luò)犯罪分子并不依賴復(fù)雜的工具來執(zhí)行工具,相反地,他們開始越來越多地嘗試使用合法的管理員工具來獲取訪問權(quán)限。

74%的企業(yè)認(rèn)為自身易受到內(nèi)部威脅影響

與2016年相比,這一比例比去年提高了7%。盡管內(nèi)部威脅受到了企業(yè)的高度關(guān)注,但在10個(gè)組織中,只有四分之一的企業(yè)實(shí)施了檢測和防止內(nèi)部人攻擊的安全控制措施。

數(shù)據(jù)來源:《行業(yè)內(nèi)部威脅調(diào)查》

勒索軟件

自2016年1月1日以來,平均每天發(fā)生4000多次勒索病毒攻擊

這一數(shù)據(jù)相比2015年增長了400%。

在RSA 2017的調(diào)查中,有30%的受訪者表示他們的組織遭受了勒索軟件的攻擊

在超過一半的事件中,受害組織能夠在不到8小時(shí)的時(shí)間內(nèi)恢復(fù)其系統(tǒng)服務(wù)。20%的受訪者表示,在遭遇勒索軟件攻擊2-3天內(nèi),員工才能恢復(fù)系統(tǒng)的訪問權(quán),而在一天內(nèi)恢復(fù)系統(tǒng)訪問的受訪企業(yè)占據(jù)17%;超過8小時(shí)的占據(jù)11%。

數(shù)據(jù)來源:《勒索軟件呈增長趨勢》

79%的企業(yè)不愿支付贖金以避免宕機(jī)和損失

大約有21%的受訪企業(yè)表示愿意支付贖金來重新獲得對其系統(tǒng)和數(shù)據(jù)的訪問權(quán),避免宕機(jī)損失的商業(yè)成本。對名譽(yù)的不利影響以及銷售損失是企業(yè)在遭遇勒索軟件攻擊后需要考慮的重要問題。

數(shù)據(jù)來源:《勒索軟件呈增長趨勢》

CEO和安全支出觀點(diǎn)

64%:認(rèn)為安全性是未來幾年企業(yè)競爭軟實(shí)力的CEO比例

調(diào)查發(fā)現(xiàn),首席執(zhí)行官們尤為關(guān)注由數(shù)據(jù)泄漏和其他IT相關(guān)的安全事件為企業(yè)帶來的不利影響,尤其是公眾對企業(yè)的信任。

數(shù)據(jù)來源:《全球CEO年度報(bào)告》

到2020年,全球企業(yè)用在網(wǎng)絡(luò)安全軟硬件和服務(wù)上的資金將達(dá)到1016億美元

2016年至2020年的安全支出將以8.3%的平均增長速度增長,也就是同期IT支出總額的兩倍以上。 在未來幾年內(nèi),全球安全投資最多的組織將會是金融服務(wù)公司,分立和流程制造商以及政府。

數(shù)據(jù)來源:《全球安全支出指南》

2016年在安全相關(guān)服務(wù)方面的總體安全預(yù)算比例將達(dá)到45%

安全軟件是第二大支出領(lǐng)域,其中身份和訪問管理工具、端點(diǎn)安全軟件以及漏洞管理產(chǎn)品占據(jù)該類別75%的支出。去年,安全硬件產(chǎn)品的銷售額約為140億美元。

數(shù)據(jù)來源:《全球安全支出指南》

組織平均花費(fèi)在IT安全和風(fēng)險(xiǎn)管理上的整體IT預(yù)算比例達(dá)5.6%

安全支出在IT預(yù)算總額的1%至13%之間,通常是安全計(jì)劃有效性的誤導(dǎo)性指標(biāo)。 與行業(yè)平均值和同行組織的通用比較可能會使組織過高估計(jì)或低估其安全能力。

網(wǎng)絡(luò)安全技能

超過四分之一的公司表示,填補(bǔ)重要網(wǎng)絡(luò)安全和信息安全職務(wù)空缺需要6個(gè)月或更長的時(shí)間

根據(jù)國際信息系統(tǒng)審計(jì)協(xié)會(ISACA)Cybersecurity Nexus(CSX)所開展的新網(wǎng)絡(luò)安全勞動力調(diào)查顯示,僅有59%的受調(diào)機(jī)構(gòu)表示,機(jī)構(gòu)的每個(gè)網(wǎng)絡(luò)安全職位至少收到五名申請者的申請,收到20個(gè)及以上申請的機(jī)構(gòu)僅占13%。與之形成對比的是,大多數(shù)公司的空缺職位都擁有60至250名的申請者。

數(shù)據(jù)來源:《2017網(wǎng)絡(luò)安全狀況》

52%的受訪者表示實(shí)踐經(jīng)驗(yàn)是最重要的網(wǎng)絡(luò)安全技能

在不斷深化的技能危機(jī)中,25%的組織認(rèn)為網(wǎng)絡(luò)安全工作候選人缺乏技術(shù)技能;而45%的受訪組織認(rèn)為網(wǎng)絡(luò)安全職位申請人不了解業(yè)務(wù)需求;近70%的受訪企業(yè)認(rèn)為安全認(rèn)證證書比正式的網(wǎng)絡(luò)安全學(xué)位更有用。

數(shù)據(jù)來源:《2017網(wǎng)絡(luò)安全狀況》

歐盟一般數(shù)據(jù)保護(hù)條例(GDPR)

47%的組織不能滿足歐盟GDPR的要求

2017年,Veritas面向歐洲、美國和亞太地區(qū)的超過900名高級業(yè)務(wù)決策者開展了一項(xiàng)關(guān)于應(yīng)對GDPR的情況調(diào)研。結(jié)果表明,47%的受訪者不確定其能夠在2018年5月25日GDPR實(shí)施前滿足相關(guān)合規(guī)性要求。根據(jù)新條例規(guī)定,如果企業(yè)無法滿足合規(guī)要求,則會面臨高達(dá)2,100萬美元或4%年收益的罰款,以金額較高為準(zhǔn)。

21%的受訪者非常擔(dān)心潛在的裁員風(fēng)險(xiǎn),這是由于企業(yè)一旦因不符合GDPR條例而招致巨額經(jīng)濟(jì)罰款,大幅度裁員將會在所難免。

42%的企業(yè)表示,不知道該保存哪些數(shù)據(jù)

數(shù)據(jù)保留也是企業(yè)普遍擔(dān)憂的難題之一。42%的企業(yè)承認(rèn),當(dāng)前尚無任何有效機(jī)制能夠根據(jù)數(shù)據(jù)價(jià)值來確定應(yīng)該保留或刪除的數(shù)據(jù)。根據(jù)GDPR規(guī)定,如果個(gè)人數(shù)據(jù)仍舊用于在收集時(shí)所告知用戶的用途,那么企業(yè)可以繼續(xù)保留個(gè)人數(shù)據(jù),但在該使用用途結(jié)束時(shí),企業(yè)必須立即刪除個(gè)人數(shù)據(jù)。

40%的受訪者則表示擔(dān)心合規(guī)失敗后的處罰問題

調(diào)查顯示,不到1/4的受訪者擔(dān)心自身是否能夠通過有關(guān)數(shù)據(jù)保護(hù)要求的審核問題,而40%的受訪者則表示擔(dān)心合規(guī)失敗后的處罰問題。

數(shù)據(jù)來源:《企業(yè)內(nèi)部的數(shù)據(jù)治理》

中小企業(yè)的安全顧慮

Verizon在2016年調(diào)查顯示,61%的數(shù)據(jù)泄露來自于不到1000名員工的中小企業(yè)

雖然大型的違規(guī)行為往往針對大型企業(yè),但是研究表明,中小企業(yè)卻占了據(jù)數(shù)據(jù)泄漏總數(shù)的61%。

82%的企業(yè)表示他們的內(nèi)部員工,每周花費(fèi)20到60個(gè)小時(shí)來采購,實(shí)施和管理安全產(chǎn)品

近75%的中型企業(yè)受訪者表示,他們有3-5名全職員工負(fù)責(zé)管理公司的安全需求。平均而言,他們只是在網(wǎng)絡(luò)安全上的支出就達(dá)到17.8萬美元,占據(jù)IT安全支出總額的30%左右。

數(shù)據(jù)來源:《451研究調(diào)查》

2016年至2021年間,中型企業(yè)用于網(wǎng)絡(luò)安全的支出將增長8.9%

未來5年內(nèi)(2016-2021年),中型企業(yè)的網(wǎng)絡(luò)安全支出的增長速度將為總體安全支出的兩倍。到2021年,擁有500-2500名員工的企業(yè)在網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)上的支出將達(dá)到約35億美元,而在2016年這一數(shù)字僅為24億美元。

數(shù)據(jù)來源:《451研究調(diào)查》

開源安全

包含開源組件的商業(yè)應(yīng)用程序比例達(dá)96%

針對數(shù)千個(gè)商業(yè)應(yīng)用程序的開源審計(jì)結(jié)果表明,平均每一款商業(yè)應(yīng)用程序至少包含147個(gè)獨(dú)特的開源組件,而且三分之二的商業(yè)應(yīng)用代碼中已知是存在安全漏洞的。

4:金融服務(wù)業(yè)組織使用的應(yīng)用程序平均包含52個(gè)開源漏洞

金融服務(wù)業(yè)組織使用的應(yīng)用程序平均包含52個(gè)開源漏洞,而零售行業(yè)和電子商務(wù)行業(yè)應(yīng)用程序中存在的高風(fēng)險(xiǎn)漏洞比例較高。

3,623:2016年報(bào)告的開源組件漏洞總數(shù)

2016年,每天幾乎都有10個(gè)開源漏洞遭到曝光,比2015年增加了10%。許多常用的開源組件中都被曝存在高風(fēng)險(xiǎn)漏洞,例如Spring Framework和Apache Commons Collections。

Android,macOS和Windows漏洞

523:2016年Android中報(bào)告的漏洞總數(shù)

2016年的Android漏洞數(shù)量是2015年在操作系統(tǒng)中發(fā)現(xiàn)的125個(gè)漏洞的四倍以上,是2009年發(fā)現(xiàn)的漏洞數(shù)量的100倍以上。去年發(fā)現(xiàn)的523個(gè)漏洞中,約有250個(gè)是特權(quán)升級漏洞,其中有104個(gè)可以造成DoS攻擊。

數(shù)據(jù)來源:《CVE Details》

215:2016年蘋果MacOS X的漏洞數(shù)量

2016年,蘋果MacOS X系統(tǒng)漏洞數(shù)量也達(dá)到了215個(gè),但是這一數(shù)字明顯低于2015年發(fā)現(xiàn)的444個(gè)安全漏洞的歷史最高紀(jì)錄。而今年(截至5月15日)已經(jīng)在蘋果系統(tǒng)中發(fā)現(xiàn)了142個(gè)安全漏洞,2017年可能又是macOS X系統(tǒng)“漏洞爆發(fā)年”。

數(shù)據(jù)來源:《CVE Details》

293:自2015年發(fā)布以來,Microsoft Windows 10中報(bào)告的漏洞總數(shù)

2017年(截至5月15日),Microsoft Windows 10操作系統(tǒng)中共發(fā)現(xiàn)了78個(gè)安全漏洞;2016年共發(fā)現(xiàn)172個(gè)安全漏洞;2015年共53個(gè)漏洞,共計(jì)303個(gè)安全漏洞。

數(shù)據(jù)來源:《CVE Details》

云安全

42%的受訪者表示,他們將來可能或極有可能將云服務(wù)運(yùn)用到其安全業(yè)務(wù)中

近一半(45%)的受訪者表示,他們將來可能或極有可能將云服務(wù)運(yùn)用到其安全業(yè)務(wù)中。這一趨勢是企業(yè)對云服務(wù)整體的信心增長所驅(qū)動的,57%的受訪者表示相信云是安全的。技術(shù)領(lǐng)域的企業(yè)對于云的信心最高,其次是教育部門。

數(shù)據(jù)來源:《云計(jì)算中的安全性》

認(rèn)為公有云與本地?cái)?shù)據(jù)中心一樣安全或更安全的IT專業(yè)人士比例達(dá)63%

24.6的受訪者認(rèn)為公有云比本地?cái)?shù)據(jù)中心更為安全;38.3的受訪者認(rèn)為公有云與本地?cái)?shù)據(jù)中心一樣安全;另有37.1%的受訪者認(rèn)為公有云沒有本地?cái)?shù)據(jù)中心安全。

63%的受訪者表示,最為關(guān)心的是部署自定義應(yīng)用程序到公共云的敏感數(shù)據(jù)

云環(huán)境中其他自定義應(yīng)用威脅包括第三方賬戶受損(56.9%)、將敏感數(shù)據(jù)下載到非企業(yè)設(shè)備中(40.1%)以及終端用戶誤操作(28.1%)。

444:在企業(yè)部署自定義應(yīng)用程序的平均數(shù)量

IT和DevOps專業(yè)人士對環(huán)境中的定制應(yīng)用程序的認(rèn)識相對較高,但I(xiàn)T安全專業(yè)人員知道這些應(yīng)用程序的不到40%。此外,報(bào)告還顯示,目前在內(nèi)部數(shù)據(jù)中心部署的定制企業(yè)應(yīng)用程序中的20%以上將在未來12個(gè)月內(nèi)遷移到公有云中。

DevSecOps

100:1:軟件開發(fā)人員比普通企業(yè)的安全專業(yè)人員多

大約一半的軟件開發(fā)者知道安全性很重要,但是由于缺乏時(shí)間和精力而無法充分地重視它們。54%的受訪者將安全專家視為識別漏洞卻不對其做任何事情的“nags(不斷抱怨、指責(zé)的人)”。

DevOps實(shí)踐不怎么成熟的企業(yè)中,有58%的開發(fā)者將安全性視為一種抑制劑

這一比例會因?yàn)镈evOps實(shí)踐的成熟度不同而有所區(qū)別。在DevOps實(shí)踐不怎么成熟的企業(yè)中,會有更多開發(fā)者將安全性視為一種抑制劑。相反,那些DevOps實(shí)踐較為成熟的企業(yè)中,就會有更少的開發(fā)者將安全性視為抑制劑。這表明,這些企業(yè)已經(jīng)找到了將安全性整合到開發(fā)過程中的方式。

47%的C級受訪人員表示,會使用安全信息和事件管理(SIEM)工具

調(diào)查顯示,約52%的受訪者表示擁有入侵檢測工具;51%使用主動監(jiān)測&分析威脅情報(bào);48%會進(jìn)行漏洞評估。根據(jù)針對10,000位C級管理人員和IT主管的調(diào)查顯示,2016年其他常見的威脅檢測流程部署還包括威脅情報(bào)訂閱服務(wù)(45%)以及滲透測試(44%)等。

物聯(lián)網(wǎng)(IoT)

49%的企業(yè)將安全和隱私作為部署物聯(lián)網(wǎng)環(huán)境時(shí)考慮的主要因素

正如安全性是云部署過程中需要重點(diǎn)關(guān)注的問題一樣,在物聯(lián)網(wǎng)部署中安全性同樣至關(guān)重要。一般來說,大型企業(yè)受訪者(46%)對連接設(shè)備的安全性重視程度高于中型企業(yè)(33%)和小型企業(yè)(31%)受訪者。

數(shù)據(jù)來源:《物聯(lián)網(wǎng)的洞察和機(jī)遇》

65%的組織將黑客及黑客入侵視為物聯(lián)網(wǎng)的最大威脅

在所有受訪企業(yè)中,有一半以上(52%)將設(shè)備漏洞視為物聯(lián)網(wǎng)安全的最大威脅,51%的受訪者將網(wǎng)絡(luò)中未加密的數(shù)據(jù)視為主要的與物聯(lián)網(wǎng)相關(guān)的威脅。

數(shù)據(jù)來源:《物聯(lián)網(wǎng)的洞察和機(jī)遇》

*參考來源:techbeacon,F(xiàn)B小編 secist 編譯,轉(zhuǎn)載請注明來自FreeBuf(FreeBuf.COM)

secist56 篇文章等級: 6級

|

|

發(fā)表評論

已有 2條評論

softbug(7級)011101000110100001100001011011... 2017-06-17回復(fù)1樓

我一個(gè)都不知道,小編你確定是翻譯的嗎

secist(6級)每個(gè)人的心中都有一個(gè)夢。。 2017-06-18回復(fù)

@ softbug 我也一個(gè)都不知道

昵稱

必須您當(dāng)前尚未登錄。登陸?注冊

郵箱

必須(保密)

取消

有人回復(fù)時(shí)郵件通知我

Loading...

贊助商

Copyright 2013 WWW.FREEBUF.COM All Rights Reserved 滬ICP備13033796號

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號